Quando entra in vigore il nuovo Regolamento?
Il Regolamento UE 2016/679, meglio noto come GDRP (General Data Protection Regulation) il 25 Maggio 2018 diventerà operativo in tutti i paesi della Comunità Europea. Questo è il termine ultimo affinché tutte le aziende possano adeguarsi al nuovo Regolamento.
È importante chiarire che in Italia il Regolamento UE 2016/679 abrogherà la direttiva 95/46/CE, così detta “Direttiva Madre” e andrà a sostituire il Codice Privacy.
Siamo pronti al nuovo Regolamento?
Quali sono le novità del nuovo regolamento sulla Privacy?
Il Regolamento Europeo Privacy o GDPR ha introdotto nuove tutele a favore degli interessati, come sempre una tutela in più richiede nuovi obblighi a carico dei Titolari e Responsabili del trattamento di dati personali.
Cerchiamo di sintetizzare alcune delle novità introdotte dal Nuovo Regolamento Privacy:
– la “portabilità del dato” (si riferisce alla possibilità di trasferire i propri dati da un social network ad un altro);
– il diritto all’oblio per il quale ogni interessato può richiedere la cancellazione dei propri dati in possesso di terzi previa dimostrazione di motivazioni legittime. Questo potrà accadere in uno degli ambiti che più ci coinvolge ossia quello del web. L’utente potrà richiedere l’eliminazione dei propri dati in possesso di un social network o di altro servizi web.
Il Privacy Impact Assessment
Il nuovo regolamento prevede la valutazione d’impatto sulla protezione dei dati, anche definita come Privacy Impact Assessment solo in caso di trattamenti rischiosi. Sono previste anche verifiche preliminari per diverse circostanze da parte del Garante.
Il principio della accountability comporterà l’onere di dimostrare l’adozione di tutte le misure privacy adottate nel rispetto del Regolamento Europeo.
Il concetto di valutazione del rischio è stato esteso con incisività alla gestione dei dati, così come introdotto dal nuovo principio della privacy by default, che impone di adottare strumenti e modalità di trattamento dei dati in grado di ridurre il rischio.
I Titolari o Responsabili del Trattamento Dati sono tenuti a strutturare i processi aziendali al fine di garantire la correttezza, l’integrità, la riservatezza e la sicurezza dei dati.
Nuove responsabilità a carico del Titolare o Responsabile del Trattamento Dat
I Titolari o Responsabili del Trattamento Dati dovranno garantire l’istituzione di un Registro delle attività di trattamento, nel quale vengano riportate le attività di trattamento dati svolte sotto la loro responsabilità che garantiscano la tutela del dato stesso.
Gli stessi dovranno cooperare con l’autorità di controllo notificando qualsiasi violazione dei dati personali alla stessa ed anche al diretto interessato.
Il Data Protection Officer
La designazione della nuova figura del DPO – Data Protection Officer, sarà obbligatoria nel caso in cui:
(a) il trattamento venga effettuato da un’autorità pubblica o da un organismo pubblico (eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali), ovvero
(b) qualora le attività principali del Titolare e del Responsabile del trattamento consistano in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessi su larga scala, o
(c) nell’ipotesi in cui le attività principali di suddetti soggetti consistano in trattamenti su larga scala di categorie particolari di dati personali (dati sensibili, dati genetici, biometrici, dati giudiziari).
I requisiti previsti per il Data Privacy Officer consistono nell’accurata conoscenza della normativa, competenze sia giuridiche che informatiche, ed una relazione diretta con i vertici aziendali.
Per tali ragioni il ruolo del DPO può essere rivestito sia da una risorsa interna all’organizzazione che da un terzo esterno alla stessa.
Al Data Protection Officer è deputato il compito di analizzare e regolamentare la gestione del trattamento e della salvaguardia dei dati personali all’interno di un’azienda, secondo le prescrizioni impartite dalla normativa vigente.
Pertanto, è a carico di tale nuova figura la predisposizione delle misure e procedure necessarie alla tutela dei dati, all’osservanza del Regolamento Europeo a garanzia della riservatezza e sicurezza del dato.
Per questo motivo il nuovo Regolamento Europeo considera il Data Protection Officer una figura autonoma, che sia libera di svolgere le proprie funzioni in completa autonomia sia funzionale che gerarchica.
Lo stesso provvede solo a informare del suo operato i vertici aziendali, affinché gli stessi forniscano le risorse necessarie al corretto espletamento del ruolo.
